Comment j'ai analysé le problème d'utilisation élevée du processeur svchost [fermé]

8

Ma machine a été attaquée par un cheval de Troie qui s'est manifesté comme un service dans le processus netsvcs svchost. Ce processus peut être identifié à l'aide de Process Explorer comme «svchost -k netsvcs».

Les symptômes que j'avais indiquant que ma machine avait été infectée étaient:

    1. En utilisant ethereal, je pouvais voir le trafic HTTP non-stop de ma machine vers différents sites Web tels que ESPN et des streamers de musique en ligne.
    2. Généralement, dans un délai de 10 à 15 minutes, le Dr Watson affiche une boîte de dialogue indiquant que le processus hôte générique a échoué.
    3. Process Explorer a indiqué que le processus «svchost -k netsvcs» prenait 100% de CPU.
    4. Les fichiers dans C: \ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5 ont été verrouillés par le processus 'svchost -k netsvcs'.

Voici ce que j'ai fait pour déterminer exactement quel service était le coupable.

La liste des services que Windows exécutera au démarrage dans le conteneur netsvcs svchost peut être obtenue à cet emplacement de registre: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs . Chaque chaîne de la valeur MULTI_REG_SZ est le nom d'un service situé dans: HKLM \ SYSTEM \ CurrentControlSet \ Services .

Pour chaque service répertorié dans netsvcs, j'ai créé une entrée distincte dans SvcHost, puis mis à jour ImagePath du service pour indiquer sous quel svchost le service doit maintenant être exécuté.

Par exemple - pour exécuter le service AppMgmt sous son propre svchost, nous ferions ce qui suit:

    1. Sous SvcHost, créez une nouvelle valeur multi-chaîne nommée 'appmgmt' avec la valeur 'AppMgmt'.
    2. Sous SvcHost, créez une nouvelle clé nommée 'appmgmt' avec les valeurs identiques à celles sous 'netsvcs' (généralement REG_DWORD: AuthenticationCapabilities = 12320 et REG_DWORD: CoInitializeSecurityParam = 1).
    3. Sous CurrentControl \ Services \ AppMgmt, modifiez ImagePath en% SystemRoot% \ system32 \ svchost.exe -k appmgmt.

J'ai suivi la procédure ci-dessus sur tous les services d'une trentaine d'années exécutés sous netsvcs. Cela m'a permis de déterminer exactement quel service était responsable des symptômes énumérés ci-dessus. Connaître le service était alors facile en utilisant Process Explorer pour déterminer quels fichiers le service a verrouillés et chargés et quelles entrées de registre il a utilisées. Ayant toutes ces données, c'était une étape simple pour supprimer le service de ma mmachine.

J'espère que ce message est utile à quelqu'un d'autre affecté par un processus svchost infecté.

user64842
la source
Avez-vous découvert ce qu'était le malware?
Ciaran
Je ne connais pas le nom du malware. La DLL et les entrées de registre que je devais supprimer semblaient être générées de manière aléatoire (par exemple, fgtyu.dll dans system32).
user64842